SSL Certificate

[MuzzYetI]

При апгрейде с 5.1 на 6.5 получил сообщение о невозможности настройки SSL сервера и рекомендацию настроить его позже вручную. Последующее обследование показало отсутствие сертификатов. Подскажите пожалуйста, откуда их можно импортировать?

[Ковалев Артем]

pkidiag может помочь в данной беде.

[MuzzYetI]

Не особо...
ERROR -1844236888. The KMO SSL CertificateIP exists, but I can't decode it

[Владимир Горяев]

PKIDiag Usage [/? /fix /rekey /ip /dns /forcenew /script]

/? --- This screen
/fix --- Set the default mode to fix all problems possible
/rekey --- Set the default action to rekey
/ip [ip address] --- Specify an IP address
/dns [dns name] --- Specify a DNS name
/forcenew --- Forces the recreation of the standard SSL Certificates
/script --- Put the utility in script mode

The PKIDiag log file is at the following location:
SYS:\Etc\Certserv\Repair.log

Проверьте чтоб в sys:\etc\ hostname и hosts были правильно прописаны адреса и имена на текущий момент. Видимо при обновлении могли изменить.

http://support.novell.com/docs/Tids/Sol ... 73066.html

а ето для иМанагера
http://support.novell.com/docs/Tids/Sol ... 91686.html

[MuzzYetI]

---------------------------------------------------------------------------
PKIDiag 2.78 -- (compiled Jul 18 2005 17:19:11).
(Check the end of the log for the last repair results)
Current Time: Tue Feb 13 11:31:06 2007
User logged-in as: admin.org.
Fixing mode
Rename and create mode
Rename and create when necessary

--> Server Name = 'BROKER'
---------------------------------------------------------------------------

Step 1 Verifying the Server's link to the SAS Service Object.
Server 'BROKER.org' points to SAS Service object 'SAS Service - BROKER.org'
Step 1 succeeded.

Step 2 Verifying the SAS Service Object
SAS Service object 'SAS Service - BROKER.org' is backlinked to server 'BROKER.org'.
Step 2 succeeded.

Step 3 Verifying the links to the KMOs
Reading the links for SAS Service object 'SAS Service - BROKER.org'.
--->KMO DNS AG broker\.organisation\.ru - BROKER.bank is linked.
--->KMO IP AG 10\.10\.10\.212 - BROKER.bank is linked.
Step 3 succeeded.

Step 4 Verifying the KMOs
---> Testing KMO 'IP AG 10\.10\.10\.212 - BROKER.org'.
Rights check -- OK.
Back link -- OK.
Private Key -- OK.

---> Testing KMO 'DNS AG broker\.organisation\.ru - BROKER.org'.
Rights check -- OK.
Back link -- OK.
Private Key -- OK.

Step 4 succeeded.

Step 5 Re-verifying the links to the KMOs
Reading the links for SAS Service object 'SAS Service - BROKER.org'.
KMO 'DNS AG broker\.organisation\.ru - BROKER.org' is linked.
KMO 'IP AG 10\.10\.10\.212 - BROKER.org' is linked.
Step 5 succeeded.

Step 6 Creating IP and DNS Certificates if necessary.
--> Number of Server IP addresses = 1
--> The default IP address is: 10.10.10.212
PROBLEM: A SSL CertificateIP does not exist
Step 6 failed -659.


Note: Occasionally multiple problems will be solved with a single fix.

Fixable problems found: 1
Problems fixed: 0
Un-fixable problems found: 0

[Владимир Горяев]

659 ошибка - проблемы с синхронизацией времени. Что dsrepair говорит про timesync?

[MuzzYetI]

В дереве три сервера, два 6.5 с R/W и 5.1 Master, вот он то и вне синхронизации, не удаётся в том числе пересадить с него мастер реплику. Отсюда вопрос - нельзя ли просто "пристрелить" его за ненадобностью? Отключить и вынести из дерева?

[Владимир Горяев]

В дереве три сервера, два 6.5 с R/W и 5.1 Master, вот он то и вне синхронизации, не удаётся в том числе пересадить с него мастер реплику. Отсюда вопрос - нельзя ли просто "пристрелить" его за ненадобностью? Отключить и вынести из дерева?

Надо бороться не со следствием а с причиной. Пока нет синхронизации, манипуляции с выносом сервера могут привести к плачевному результату.
Нужно попробовать выгрузить-загрузить timesync. Проверить параметры синхронизации - типы серверов, IP источников времени... Короче добиться синхронизации в первую очередь.

[MuzzYetI]